MYSQL转义字符串执行

Question

我有一个简单的调查页面，我试图做。除了在我对调查页面的评论中使用单引号时，一切运行良好。当我对它的单引号发表评论时，数据库查询不会插入到数据库中。

在Googleing之后，我想我必须在将字符串插入到数据库之前将其转义。在插入数据库之前，我使用mysqli_real_escape_string来转义字符串，但这似乎没有帮助。

这里是我的代码，将用户的意见为DB（未显示安全$ CON）

mysqli_real_escape_string($con,$_POST['question_1']); 
    mysqli_real_escape_string($con,$_POST['question_2']); 
    mysqli_real_escape_string($con,$_POST['question_3']); 
    mysqli_real_escape_string($con,$_POST['question_4']); 
    mysqli_real_escape_string($con,$_POST['question_5']); 

    mysqli_query($con, "INSERT INTO feedback (question_1, question_2, question_3, question_4, question_5) VALUES ('$_POST[question_1]', '$_POST[question_2]', '$_POST[question_3]', '$_POST[question_4]', '$_POST[question_5]')"); 

同样，当注释包含一个单引号这只是发生。有什么建议么？我是否错误地脱离了字符串？

Answer 1

你误会了，这里

mysqli_real_escape_string($con,$_POST['question_1']); 

发生此函数返回一个字符串逃脱。然后您在您的SQL中使用此字符串

$question1 = mysqli_real_escape_string($con,$_POST['question_1']); 
//Do your other escapes here 
mysqli_query($con, "INSERT INTO feedback (question_1, question_2, question_3, question_4, question_5) 
    VALUES ('$question1', ...)"); 

此处更好的解决方案是准备语句。这并不要求你逃脱任何东西。数据被分开发送和适当

$prep = mysqli_prepare($con, 'INSERT INTO feedback (question_1, question_2, question_3, question_4, question_5) 
    VALUES (?, ?, ?, ?, ?)'); 
mysqli_stmt_bind_param($prep, "sssss", $_POST['question_1'], $_POST['question_2'], $_POST['question_3'], $_POST['question_4'], $_POST['question_5']); 
mysqli_stmt_execute($prep);